9. IT-Trends Sicherheit Risikoverantwortung und Know-how Schutz

Transkript

1 @-yet GmbH Hans-Peter Fries Key Account Manager Business Security 9. IT-Trends Sicherheit Risikoverantwortung und Know-how Schutz GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

2 Firmenportrait Juni 2002 gegründet 30 Mitarbeiter Sitz: Leichlingen/Rheinland IT-Strategie- und Technologieberatung im Hinblick auf Unternehmenssicherheit GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

3 Beratungsschwerpunkte Informationssicherheit Risikomanagement IT Sourcing GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

4 Hacking Angriffe und IT-Ausfallskosten GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

5 Einige Fakten zum Thema IT-Sicherheit Rechner im Internet werden statistisch alle 39 Sekunden attackiert. Im Durchschnitt über 2500 Mal am Tag. (Quelle: Heise, Studie der Universität Maryland) alle 3 Sekunden werden neue virenverseuchte Webseiten entdeckt, d. h. rund pro Tag. (Quelle: Sophos, 2012) Alle 5 Sekunden wird weltweit ein mobiles Endgerät gestohlen oder verloren 97 % bleiben für immer verschwunden. (Quelle FBI / Zeitung US Today) GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

6 Hacking Angriffe Alle deutschen Unternehmen haben schon Firmengeheimnisse verloren, weil ihre Computer oder Mitarbeiter angegriffen wurden. (Aussage Innenministerium NRW 2013) Großunternehmen mit einem Jahresumsatz von mehr als 500 Millionen Euro werden doppelt so oft attackiert als Kleinunternehmen. Im Fokus: Mittelstand! Viel Prozess-Know-how kaum Schutz! (Quelle: Institut für Demoskopie Allensbach im Auftrag der Telekom-Tochter T-Systems, 2012) GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

7 Soziale Netzwerke Web GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

8 GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

9 Soziale Netzwerke: ein unterschätztes Risiko für Unternehmen Offener Umgang sowie Vermischung mit privaten und beruflichen Daten Preisgabe unternehmensbezogener Informationen, wie Position/Funktion Namen der Kollegen - Abwesenheiten Arbeitssituation - Auftragslage Informationen über neue Projekte und Produkte etc. GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

10 Soziale Netzwerke: Datenabgleich Oft findet der Austausch zwischen lokalen Adressbücher und Kontaktliste des sozialen Netzwerks statt Geschieht meist, ohne dass der Anwender oder der Kontakt (!) das wahrnimmt Ohne Einwilligung des Kontaktes die Übermittlung ist nicht zulässig und strafbar (BDSG) Die Assets des Unternehmens werden durch die Nutzer bewusst/unbewusst weitergegeben GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

11 GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

12 Soziale Netzwerke: Gefahr erkannt Gefahr gebannt!? Vertrauliche Daten nur für begrenzte Personenzahl Vertrauliche Daten nicht in sozialen Netzwerken Social Media Guidelines etablieren und leben Einhaltung zahlreicher Gesetze (BDSG) Vertraglich zu regeln: Umgang mit Vertrauensdaten Verbleib von Kontakten aus den Social Media Accounts Preisgabe der Geschäftsgeheimnisse ist strafbar GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

13 Mobilität und der Preis dafür. GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

14 Beziehungen zu Smartphone, Pad & Co. 91% der Besitzer eines Smartphone haben dies 24 h/tag in unmittelbarer Reichweite 60 % der verheirateten Paare würden ihre Zahnbürste, aber nicht ihr Smartphone mit ihrem Partner teilen. Es dauert durchschnittschlich 60 Stunden, bis eine verlorene Geldbörse gemeldet wird bei Smartphones 68 Minuten Quelle: Internetrecherche GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

15 Gründe für Mobile Security Manager, Vertriebler, Ingenieure sind oft und lang in Hotels Flughafen Lounges Bahnhöfen und Zügen Kongresszentren etc. Ohne mobile Endgeräte geht nichts mehr GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

16 Gründe für unsichere Mobile Security Consumer-Produkte halten vielfach unkontrolliert Einzug in die Firmennetze und lassen sich nur schwer aufhalten! GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

17 Was können (tun) denn so die Apps? Quelle: Chip Online News, GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

18 Verschlüsselung bei Apps (ios & Android) Nahezu alle Apps senden Daten unverschlüsselt 100 % ios-apps verzichten auf Verschlüsselung 92 % Android senden ohne Verschlüsselung 100 % Business Apps ohne Verschlüsselung 96 % unverschlüsselte Daten-Übermittlung an Werbe- oder Analyse-Dienstleister Quelle: Chip Online News, GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

19 Sicherheit bei der Nutzung von Apps Ermittelung des Standortes des Nutzers über WLAN und GPS 60 % bei ios Nutzern 42 % bei Android Nutzern Zugriff auf die Kontake von Smartphone und Tablet 54 % bei ios Nutzern 20 % bei Android Nutzern Zugriff auf den Kalender 14% bei ios Nutzern 0 % bei Android Nutzern Quelle: Chip Online News, GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

20 Sicherheit bei der Nutzung von Apps Entertainment-Apps bieten die niedrigste Sicherheit Hingegen bieten Finanz-Apps die höchste Sicherheit Der Datenhunger bei ios-apps hat im Vergleich zu 2012 zugenommen Im Test sind ios-apps grundsätzlich riskanter als Android-Apps eingestuft worden Quelle: Chip Online News, GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

21 Zusammenfassung Apps Viele Apps übermitteln vertrauliche Daten eindeutige Gerätekennungen Aufenthaltsort gespeicherte Kontakte -Passwörter Kaum Möglichkeiten Apps zu überwachen was wird übermittelt? worauf wird zugegriffen? was passiert sonst noch? GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

22 Fazit Apps Nicht ausreichende Prüfung durch Store-Betreiber keine Prüfung auf Malware keine Sicherheitsanforderungen App-Anbieter vorsätzlich - sorglos! nur Funktionalität/Design massive Sicherheitsprobleme in den Apps Apps setzen auf unsicheren Verfahren auf Funktionalität und Design geht vor Sicherheit Datenschutz wird dem Profit geopfert GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

23 Unsicherheitsmerkmale mobiler Endgeräte Weitere Schwachstellen: Schwachstellen in den Geräten Installation über OTA (Over-The-Air- Konfiguration) Viren, Trojaner eingeschränkte Managebarkeit! (Adminrechte der User sind kaum einschränkbar) GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

24 Was ist möglich? Fremdkontrolle der Geräte von außen: Störung der Geräte Verfolgen der Position(Tracking) Kostenverursachung durch Anrufe Kostenverursachung durch Versenden von SMS Abhören von Gesprächen über das Mobiltelefon Diebstahl von lokalen Daten s, SMS, Dokumente möglich GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

25 Social Engineering GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

26 Beispiel: Social Engineering Mitarbeiter sind nicht entsprechend sensibilisiert! Physischer Zugang zu diversen Rechnern Diebstahl von Daten auf USB-Stick Telefonanruf Herausgabe von Passwörtern (Windows, Notes, PAISY etc.) GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

27 Beispiel: Infrastruktur Assessment Außenstehende / Besucher können Gebäude & Räume ungehindert betreten Firmeninterne Unterlagen einfach zugänglich Verteilerschränke sind nicht abgesperrt Vertrauliche Daten in den Büros werden nicht weggesperrt bzw. Büros nicht abgeschlossen Diebstahl von Notebooks, Smartphones etc. GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

28 Beispiel: Password-Cracking Systematisches Ausprobieren von Passwörtern mit Offline- Wörterbuch bzw. Brute Force Kopie der verschlüsselten Passwortdatei bzw. Ergebnis von Sniffing Verschlüsseln gebräuchlicher Worte und Vergleich mit den Einträgen in der Passwortdatei (z.b. mit dem frei erhältlichen Programm Crack) 14 Stellen unter 1 min Sicher erst ab 18 Stellen GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

29 Klein aber fein Moderne Spionage Hardware wird immer unscheinbarer Keylogger speichern jeden Tastendruck Minicomputer hören Netzwerkverkehr ab oder dienen als internes Standbein im Firmennetz Accesspoints bieten bequeme Zugriffspunkte zum Firmennetz bieten Moderne USB-Sticks in einem Kugelschreiber GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

30 Business Security Sicherheit im Unternehmen GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

31 Business Security Wie wird angegriffen? Hackingangriff von außen Informationsbeschaffung von innen Social Engineering, Innen Täter Datenträgerklau Smartphones, Notebooks etc. Ausnutzen physischer und organisatorischer Schwachstellen ( Rauchertüren ) Immer mehr über Websites und shops sowie über Smartphone, Pad & Co! GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

32 Business Security Schäden, Verluste, etc. Abfluss von personenbezogenen Daten Meldepflichtig, ggf. Bußgelder falls keine Meldung erfolgt Imageschaden Gezieltes Phishing gegen Kunden und Mitarbeiter Abfluss von Konto- und Kreditkartendaten Missbrauch der Informationen führt zu direkten finanziellen Schäden bei Kunden Schadenersatzforderungen Massiver Imageschaden Kompromittierung der Serversysteme Falls nicht entdeckt: langanhaltender Zugriff auf vertrauliche Daten Rechteeskalation zur Erlangung vollständiger Kontrolle DeFacements führen zu Imageschäden GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

33 Business Security Know-how-Diebstahl Plagiate Patent-Streitigkeiten Diebstahl von Geschäftsgeheimnissen Forschung und Entwicklung Dokumente der Geschäftsführung (Strategien, Akquisitionen, zukünftige PR-Kampagnen, etc.) Manipulation von Daten Kundenstamm Buchhaltung Personal-Einsatz-Planung Sabotage Produktive Systeme Sicherheitssysteme und Schließanlagen GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

34 Im Focus der Betrachtung - Security Awareness Der Mensch und sein Umgang mit den Daten und Geräten Der Umgang mit den Informationen muss auf der Unternehmensebene geregelt werden ALLE, von Management bis Mitarbeiter, müssen für die Gefahren sensibilisiert und trainiert werden Diese Sicherheitspolitik ist die Aufgabe der obersten Geschäftsführung GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

35 IT Risikomanagement Know-how Schutz GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

36 IT-Risikomanagement Der bewusste und gezielte Umgang mit den Risiken, die sich für Organisationen durch den Einsatz von IT ergeben können! Sichergestellt werden muss die: Integrität, Vertraulichkeit, Verfügbarkeit der Daten! GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

37 IT-Risikomanagement Aufgaben: Schutz vor Verlust von Wissen und Werten Schutz vor Risiken, die sich Vertraglich und gesetzlich aus dem Einsatz der Informationstechnologie ergeben können. GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

38 Vorgehensweise Bestimmen Sie Ihren Schutzbedarf Welche Daten sind für ein Unternehmen wie wichtig? Datenklassifikation, ISMS Wer darf auf welche Daten zugreifen und wer entscheidet das? Welche Prozesse sind wie wichtig? Business Impact Analyse Ab wann verliert ein Unternehmen Geld, wenn Prozesse stehenbleiben? Welche gesetzlichen Mindestauflagen müssen erfüllt sein. z.b. Datenschutz/BDSG GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

39 Vorgehensweise Statusfeststellung: wo stehen Sie? Status organisatorische Sicherheit Regelwerke/Policies Awareness Social Engineering/Phishing Policy Check Status physische Sicherheit Gebäudeschutz Social Engineering Status IT Sicherheit Betrachtung des Gesamtsystem Onsite- und Offsite-Pentests Infrastruktur- und Continuitycheck GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

40 Sicherheit ist ein komplexer Regelkreis! Physische Sicherheit Gebäude- und Zugangsschutz Security Leitstand IT-Sicherheit State-of-the-Art Security-Produkte & -Technologien Organisatorische Sicherheit Security Policies, Prozesse Management und Mitarbeiter Awareness GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

41 Was wollten wir Ihnen vermitteln Security zu vernachlässigen - ist fahrlässig - kann existentiell werden Definition der Sicherheitsziele die Technik ist komplex, aber beherrschbar aber ohne Organisation ist sie wertlos halbe Sicherheit = volles Risiko! GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

42 GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

43 Fragen? Vielen Dank für Ihre Aufmerksamkeit! GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)